GDPR出台一年:欧洲数字隐私条例推动全球数据隐私保护立法
93242018 年 5 月 25 日,欧盟出台《通用数据保护条例》(GDPR)并正式生效。GDPR 的核心是更新数字时代的相关隐私条例,并确保各机构对其用户的个人数据保护。在 GDPR 条例下,用户有权知悉个人数据的使用途径,并可拒绝其他个人或机构使用相关数据。
该条例旨在采取预防措施以保护个人数据安全,如有机构因遭受攻击而导致用户个人资料被窃,那么机构需要在获悉事件后的 72 小时内向用户及当局报告。
在该条例生效之前,企业纷纷迅速改善对其用户个人数据的处理,比如获得用户的明确同意之后再保留其资料,或者聘请数据保护人员监督 GDPR 合规项目。
为什么会发生这种情况呢?
毫无疑问,GDPR 最让人关心的一点是一旦数据泄漏,将会产生巨额罚款的风险。它允许国家数据保护部门向违反该条例的机构组织提出巨额罚款。对于那些被认定为玩忽职守的公司,它们可能会面临相当于其全球年营业额 4% 的罚款,这一数字对全球顶级公司来说可能意味着数十亿美元。
比如此前,谷歌因违反 GDPR 而被法国数据保护机构 CNIL 处以 5000 万欧元的巨额罚款,具体是因为是谷歌违反了 GDPR 有关数据透明度的规则,而且在处理广告相关的用户数据方面也缺乏法律依据。
这是迄今为止因违反 GDPR 所产生的最高罚款。虽然谷歌正在对此案提起上诉,但由于对于谷歌这样的巨头公司来说,5000 万欧元只是一笔小数目,所以有人愤懑表示,这样的罚款力度还不够。
普华永道数据保护和网络安全合伙人 Stewart Room 表示,“人们高估了监管体系做出结论的时效性:法律正当程序意味着信息专员和其他监管机构在解决问题时是必须花费一定时间和经历必要流程的,这之后才能采取更多的措施,这也是法律所规定的。”
他表示:“社会上总有一种固有印象,那就是监管机构并没有做什么,但其实在这背后发生了非常多事情,普通大众没有注意而已。”
欧盟的数据监管机构仍在调查数以千计的数据泄漏事件,因此,新数据保护条例施行之后,肯定会有更高额的罚款事例出现,这只是时间问题。此外还有人认为,如果没有高调罚款,一些公司就不会重视 GDPR 数据保护条例。
“我并不主张高额罚款,但 GDPR 的高额处罚的确会威慑一些滥用私人数据的企业。如果雷声大雨点小没有开出实际罚单,企业可能会置之不理。”Kemp Little 律师事务所的商业技术合伙人 Emma Wright 表示道。
“去年这个时候,所有人都高度关注 GDPR。但如果人们越是赖着不缴纳罚款,罚款的重要性也就会下降得更多。”她警醒道。
然而,GDPR 存在的意义是:给组织机构提供必要的框架来构建数据收集策略,这些策略不仅为用户提供额外的隐私权,而且如果应用得当,它还可以帮助组织机构从数据中获得更多信息。
GDPR 惹恼了很多人,但是这也可能是有史以来最大的数据隐私保护行动。同时这也意味着,当用户同意组织机构或公司使用其个人数据时,这些组织、公司相较于其他同行会有更多优势。
Forrester(弗雷斯特研究公司)风险与安全高级分析师 Enza Lannopollo 表示:“人们更喜欢来自第一方的数据,即直接来自用户的数据,因为如果获得了数据使用权,说明得到了用户的信任。”
“有了这种信任,他们会提供更准确、更紧要的信息——因为在征得同意的情况下,如果操作透明且相互信任,那么用户就会分享更多数据。”
这对应对 GDPR 条例的组织机构而言是个好消息。
Lannopollo 说道:“建立稳定的应对方案需要数据保护专员与 IT、管理以及业务团队人员的合作——如果没有数据隐私保护专员的参与,没有改变处理数据及评估风险的方法,就不可能进行大型的数字项目。这其中仍然有很多工作需要去做。”
企业需要一段时间才能适应 GDPR。此外有些人认为,GDPR 条例在欧洲内部实施状况也有差异,并不公平。
“在我看来,它没有真正成功的一点在于没有为数据保护建立一个公平的欧盟大环境。” 隐私数据合规软件供应商 Nymity 的战略研究和监管部门主管 Paul Breitbarth 表示,他也是马斯特里赫特大学欧洲隐私与网络安全中心的高级访问学者。
尽管欧盟是一个整体,但 GDPR 的一些条件并不适用于所有国家:例如,在德国和芬兰等国,每家企业都必须有数据保护专员,而在其他国家则并非如此。Breitbarth 表示,GDPR 应该使所有欧盟国家适用相同的标准。
他表示,“在现有法律中,有些成员国在可控范围内与欧盟标准存在一定偏差。”
但尽管如此,Breitbarth 认为,GDPR 在很大程度上来说还是成功的,因为它迫使组织机构改善了他们的数据隐私保护做法,同时也提醒用户捍卫自身权利。
他表示,“许多组织机构都改善了它们的数据隐私保护方案,审查了它们的数据保留规划和政策制度,并确保了数据处理过程的透明性——这是向前迈出的重要一步。”
现在,因为 GDPR 的出台,组织机构空前地意识到数据隐私保护的重要性,也知道数据泄漏和违反条例的后果——但这还不是全部,与 10 年前的网络安全情况相比,Room 表示还有一定差距。
“可惜通常情况下,企业只有吃一堑才能长一智——这就是 GDPR 开出巨额罚单的目的所在。”Room 说道,“除非蒙受损失,否则公司永远不会重视。”
GDPR 在很大程度上是一个欧洲项目,但它的影响已波及全球——在它生效后不久,欧洲用户发现他们无法访问一些基于美国托管的网站。在某些情况下,这条例仍是适用的,因为 GDPR 不仅适用于欧盟内部——如果组织机构处理到欧盟公民的个人数据,那么即使这些组织处于世界其他地方,它们也需要考虑隐私条例。
但硅谷的一些顶级公司似乎已经准备好在隐私保护笼罩下的欧洲钻空子。
谷歌本月曾宣布,在删除设备上的位置数据之前,它只会保存一小段时间;而 Facebook 的 Mark Zuckerberg 已经开始强调隐私的重要性。不过并非所有人都吃这一套。
“许多科技巨头正试图利用数据隐私保护来占据头条,说隐私保护对他们很重要。但他们靠什么在短时间内转变数据处理流程和方式呢?”Lannopollo 表示。
现在全球各地,诸如巴西、韩国、日本和印度等国,正在推出一些类似的隐私立法措施来加强自身的数据保护,而加州——硅谷所在地,也将推出自己的加州用户隐私政策。如果不是 GDPR 的出台,这些地方可能不会在意用户数据保护。
Breitbarth 说道:“从长远来看,全球范围内的隐私保护措施会有所提升。因为无论如何,GDPR 为隐私和数据保护设定了一个新的全球标准,越来越多的国家都开始借鉴 GDPR 中的一些原则和条例了。”
(本文作者:heyevewell)
本文由 jqyjr 编辑排版
